BETALINGSVERKEER
EN
GEGEVENSBESCHERMING
GEGEVENSVERGARING
DOOR
BETALINGSINITIATIE-
EN
REKENINGINFORMATIEDIENSTAANBIEDERS
Aantal woorden: 50849
William Debakker
Studentennummer: 01208042 Promotor: Prof. dr. Michel TisonCommissaris: Dhr. De Meulemeester Louis
Masterproef voorgelegd voor het behalen van de graad master in de Rechten
Voorwoord
Het aantal keren dat ik de eerste zin van dit voorwoord al terug verwijderd heb is niet meer te tellen op twee handen. Het lijkt dan ook alsof het schrijven van mijn voorwoord en een gevoel hierbij plaatsen, gecompliceerder aanvoelt dan het schrijven van mijn masterproef.
2020 is een, op zijn zachtst gesteld, surrealistisch jaar voor mij geweest. Toch wil ik een aantal mensen die een brandpunt hebben gevormd in dit voorwoord expliciet bedanken. In de eerste plaats zou ik graag mijn promotor Prof. Dr. Tison Michel willen bedanken. Bedankt voor het vele geduld dat u heeft uitgeoefend, erop gehamerd heeft dat mijn onderzoeksvragen duidelijk en to the point zijn, en om telkens mij in de juiste richting te sturen omtrent de aanpak van mijn masterproef. Zonder deze omkadering zou het schrijven van mijn masterproef niet gelukt zijn.
In de tweede plaats gaat uitzonderlijke dank uit naar mijn goede vriend Sander en zijn gezin. Bedankt dat ik gedurende vier maanden bij jullie mocht intrekken. Bedankt om mij uit de chaos te leiden waarin ik mij bevond. Bedankt om terug structuur en zin te geven. Zonder jullie was het schrijven van mijn masterproef onmogelijk geweest.
Bedankt aan mijn drie broers, mijn moeder en mijn vele vrienden in het VRG, in de scouts en uit Roeselare. Bedankt voor de vele berichten die jullie stuurden en de hulp die jullie aanboden.
Als laatste wil ik mijn vader bedanken, aan wie ik deze masterproef opdraag.
I
Inhoudstafel
LIJST GEBRUIKTE AFKORTINGEN ... 1
LIJST GEBRUIKTE FIGUREN ... 2
INLEIDING ... 4
INLEIDENDE ANEKDOTE ... 4
AFDELING1:SITUERING VAN HET ONDERZOEKSOPZET... 5
AFDELING2:ONDERZOEKSMETHODEN... 7
AFDELING3:SITUERING PSDII EN GDPR ... 8
Onderafdeling 1: PSDII... 8
1.1 Betalingsinitiatiedienst ... 10
1.2 Rekeninginformatiedienst ... 11
1.3 Onderscheid betalingsdienstaanbieders ... 12
Onderafdeling 2: GDPR ... 14
DEEL I: INLEIDENDE BEGRIPSBEPALING... 16
AFDELING1:INLEIDING ... 16
AFDELING2:BEGRIPSBEPALING ... 17
Onderafdeling 1: Betalingstransactie... 17
1.1 Algemeen ... 17
1.1.1 Door de betaler of voor zijn rekening ... 17
1.1.2 Door (of via) de begunstigde geïnitieerd ... 17
1.2 Geldmiddelen ... 18
1.3 Het deponeren en opnemen van geldmiddelen ... 18
1.4 Het overmaken van geldmiddelen ... 18
1.4.1 Overschrijving ... 19 1.4.2 Domiciliëring ... 19 1.4.3 Geldtransfer ... 19 1.5 Conclusie ... 20 Onderafdeling 2: Betaalrekening ... 21 2.1 Algemeen ... 21 2.2 PSD ... 21 2.3 PSDII ... 23 2.5 Conclusie ... 27
Onderafdeling 3: De traditionele betaalketen en uitbreiding ... 28
3.1 Algemeen ... 28
3.2 STAP 1: Gebruikmaken van een betaalinstrument ... 28
II
3.2.2 Betaalkaartschema’s ... 30
3.3 STAP 2: Debitering betaalrekening en goedkeuring van de betaalopdracht ... 31
3.3.1 Verwerker van betalingstransacties ... 31
3.4 STAP 3: Vereffening ... 32
3.5 STAP 4: Creditering betaalrekening en berichtgeving aan begunstigde... 33
3.6 SCHEMA’S ... 34
DEEL II: ACCESS TO ACCOUNT (XS2A) ... 38
AFDELING1:TOEGANG TOT BETAALREKENINGEN(EN) ... 38
1.1 Inleiding... 38
1.2 Online raadpleegbaar ... 39
1.3 Toegang door PISP ... 40
1.3.1 Verplichtingen ASPSP ... 40
1.3.2 Verplichtingen PISP ... 41
1.3.3 Uitdrukkelijke instemming voor de betalingstransactie aan ASPSP ... 42
1.3.4 Noodzakelijke gegevens voor een betalingsinitiatiedienst ... 43
1.4 Toegang door AISP ... 44
1.4.1 Verplichtingen ASPSP ... 44
1.4.2 Verplichtingen AISP ... 45
1.4.3 Uitdrukkelijke instemming ten behoeve van de AISP ... 46
1.5 Uitdrukkelijke instemming versus uitdrukkelijke toestemming ... 47
1.6 Conclusie uitdrukkelijke instemming ... 47
AFDELING2:TECHNISCHE VOORWAARDEN VOOR TOEGANG TOT BETAALREKENING(EN) ... 49
2.1 Algemeen ... 49
2.2 Interfaces ... 50
2.2.1 Dedicated interface ... 50
2.2.1.1 Voorwaarden voor dedicated interfaces ... 51
2.2.1.2 Terugvaloptie ... 51
2.2.2 Consumer interface en Screen scraping ... 52
AFDELING3:AUTHENTICATIE... 54
3.1 Authenticatie onder PSD(II) ... 54
3.2 Authenticatie volgens de EBA ... 55
AFDELING4:STRONG CUSTOMER AUTHENTICATION (SCA) ... 56
4.1 Algemeen ... 56
4.2 Methodes voor SCA... 57
4.2.1 Redirection- en Decoupled approach ... 58
4.2.2 Embedded ... 60
4.2.3 Redirection als obstakel? ... 61
4.3 Duurtijd van de SCA ... 63
III
4.3.2 Voor PISP ... 64
AFDELING5:CONCLUSIE TOEGANG TOT BETAALREKENINGEN ... 66
DEEL III: CASE-STUDIES PISP EN AISP... 68
AFDELING1:INLEIDING ... 68
AFDELING2:DE VERSCHILLENDE BETALINGSDIENSTAANBIEDERS ... 68
Onderafdeling 1: Bonsai ... 68
1.1 SDD-Mandaat ... 69
1.1.1 In het bezit zijn versus aanhouden van geldmiddelen van de betaler ... 70
1.1.2 SDD-mandaat als betalingsinitiatie ... 71
1.2 Toegang tot de betaalrekening ... 72
Onderafdeling 2: Payconiq ... 73
2.1 Payconiq by Bancontact ... 73
2.1.1 Mobile wallet ... 74
2.1.2 Conclusie Mobile wallets ... 82
2.2 Payconiq ... 82
Onderafdeling 3: Cake ... 83
AFDELING3:GEGEVENSVERWERKING DOOR DE VERSCHILLENDE BETALINGSDIENSTAANBIEDERS ... 85
Onderafdeling 1: Classificatie van de verschillende gegevens ... 85
1.1 Inleiding ... 85
1.2 Classificatie volgens de dienstverlening en PSDII ... 86
1.3 Classificatie volgens GDPR ... 87
1.3.1 Iedere informatie ... 87
1.3.2 Betreffende een natuurlijke persoon ... 88
1.3.3 Geïdentificeerd of identificeerbaar ... 91
1.3.4 Natuurlijke personen ... 93
1.3.5 Bijzondere categorieën van persoonsgegevens ... 93
1.4 GDPR-gegevens versus PSDII-gegevens ... 94
1.5 Verwerking van gegevens ... 96
1.6 Verwerkingsverantwoordelijke ... 97
1.6.1 Een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan ... 98
1.6.2 Alleen of samen met anderen ... 99
1.6.3 Het doel en de middelen voor de verwerking vaststellen ... 100
1.7 Verwerker ... 101
1.8 PISP’s en AISP’s als verwerkingsverantwoordelijke ... 101
Onderafdeling 2: Schematisch overzicht vergaarde gegevens en DPIA ... 103
DEEL IV: ANALYSE PSDII VERSUS GDPR ... 109
AFDELING1:INLEIDING ... 109
AFDELING2:RECHTSGRONDSLAGEN VOOR DE VERWERKING VOLGENS DE GDPR ... 111
IV 1.1 Vrij ... 112 1.1.1 Ongebalanceerde machtsverhoudingen ... 112 1.1.2 Conditioneel... 113 1.1.3 Vrije granulariteit... 113 1.2 Specifiek ... 114 1.2.1 Specifieke granulariteit ... 114 1.2.2 Function creeping ... 115 1.3 Geïnformeerd ... 115 1.3.1 Te verstrekken informatie ... 116
1.3.2 Voorwaarden met betrekking tot de te verstrekken informatie ... 117
1.4 Ondubbelzinnig ... 117
1.5 Bijkomende voorwaarden met betrekking tot toestemming ... 118
Onderafdeling 2: Uitdrukkelijke toestemming als rechtsgrondslag ... 119
Onderafdeling 3: Is (uitdrukkelijke) toestemming de correcte rechtsgrondslag voor betalingsdienstaanbieders? ... 121
Onderafdeling 4: Uitvoering van de overeenkomst als rechtsgrondslag ... 123
4.1 Uitvoering van een overeenkomst in de zin van PSDII ... 123
4.2 Nevendiensten van PISP’s en AISP’s ... 124
4.3 Conclusie ... 125
Onderafdeling 5: Art. 94, tweede lid PSDII ... 126
5.1 Europees ... 126
5.1.1 Vereisten van de uitdrukkelijke toestemming ingevolge art. 94, tweede lid PSDII ... 128
5.1.2 Uitzonderingen ... 129
5.2 Belgisch ... 130
5.3 Gevoelige persoonsgegevens ... 131
5.3.1 Biometrische gegevens ... 132
5.3.2 Andere gevoelige persoonsgegevens ... 133
5.4 Conclusie art. 94, tweede lid PSDII en algemene verhouding tot de GDPR ... 133
AFDELING3:VERWERKING OP BASIS VAN ANDERE RECHTSGRONDSLAGEN ... 135
Onderafdeling 1: Rechtsgrondslag voor de toegang tot de betaalrekening ... 136
Onderafdeling 2: Rechtsgrondslag voor het voorkomen van, het onderzoek naar en de opsporing van betalingsfraude ... 137
Onderafdeling 3: De problematiek van silent party data ... 138
3.1 Rechtmatigheid van het verwerken van silent party data ... 138
Onderafdeling 4: Verdere verwerking van persoonsgegevens ... 140
4.1 Voorwaarden voor verdere verwerking ... 140
4.2 Verdere verwerking voor data modelling ... 142
4.3 Verdere verwerking voor profilering ... 143
4.4 Verder verwerking voor direct marketing... 144
4.4.1 Uitzondering voor direct marketing in de sector elektronische communicatie? ... 146
V
Onderafdeling 5: Zijn de case-studies GDPR-compliant? ... 149
5.1 Bonsai ... 149
5.2. Payconiq ... 150
5.3 Cake ... 151
AFDELING4:AANSPRAKELIJKHEID ... 152
Onderafdeling 1: Contractuele aansprakelijkheid ... 152
Onderafdeling 2: Buitencontractuele aansprakelijkheid ... 152
Onderafdeling 3: Strijdigheid met de eerlijke handelsgebruiken... 154
Onderafdeling 4: Redelijke verwachtingen betrokkene ... 155
Onderafdeling 5: Conclusie ... 156
AFDELING5:OVERSIGHT, DOOR WIE? ... 157
CONCLUSIE ... 160 BIBLIOGRAFIE ... 167 WETGEVING: ... 167 Europese Wetgeving:... 167 Richtlijnen: ... 167 Verordening: ... 167 Belgisch: ... 168 Voorbereidend: ... 168 Wetten: ... 168 Duits:... 168 Nederlands: ... 168 RECHTSLEER: ... 169 Tijdschriften: ... 169 Duits: ... 169 Nederlands: ... 169 Belgisch: ... 169 Frans: ... 170 Engels: ... 170 Boeken: ... 170 Verzamelwerken:... 171 Reeksen: ... 171 Scripties:... 171 RECHTSPRAAK: ... 172 Europees: ... 172 Belgisch: ... 172 INSTANTIES: ... 173 ACM: ... 173
VI
ARTICLE 29 DATA PROTECTION WORKNG PARTY: ... 173
AP: ... 174 Berlin Group: ... 174 Betaalvereniging: ... 174 EBA: ... 174 EBF: ... 175 EDPB: ... 175 EPC: ... 175 FCA: ... 176 HM TREASURE: ... 176 INR: ... 176 NBB: ... 176 PSD EXPERT GROUP:... 176 PSR: ... 176 IN DE MEDIA: ... 176 BETALINGSDIENSTENAANBIEDERS EN BIGTECH: ... 177
1
Lijst gebruikte afkortingen
AVG Algemene Verordening
Gegevensbescherming
AISP Account Information Service Provider
API Application Programme Interface
ASPSP Account Servicing Payment Service
Provider
BigTech Big Technology
CBPII Card Based Payment Instrument Issuer
DS-GVO Datenschutz Grundverordnung
EBA European Banking Authority
FAMGA Facebook, Apple, Microsoft, Google,
Amazon
FinTech Financial Technology
GDPR General Data Protection Regulation
NBB Nationale Bank van België
PayTech Payment Technology
PISP Payment Initiation Service Provider
PIN Persoonlijke Identificatie Nummer
PSD(II) Payment services Directive (II)
PSP Payment Service Provider
QR-code Quick Response-code
2
RGPD Règlement Général sur la Protection des
Données
RTS Regulatory Technical Standards
SCA Strong Customer Authentication
TAN Transactie Autorisatie Nummer
TPP Third party providers
(PISP, AISP & CBPII)
X2SA Access to Accounts
Lijst gebruikte figuren
Figuur 1: de traditionele betaalketen. p. 34
Figuur 2: de driepartijbetaalkaartenschema’s. p. 35
Figuur 3: schematische voorstelling PISP. p. 36
Figuur 4: schematische voorstelling AISP. p. 37
Figuur 5: schematische voorstelling screen-scraping. p. 53 Figuur 6: schematische voorstelling Redirection- of
Decoupled approach.
p. 59
Figuur 7: schematische voorstelling Embedded approach. p. 61 Figuur 8: schematisch overzicht vergaarde gegevens door
de case-studies en classificatie.
Figuur 9: schematisch overzicht vergaarde gegevens door de case-studies en classificatie (vervolg).
p. 106
p. 107
Figuur 10: schematische voorstelling verschillen in toestemming onder PSDII en GDPR.
4
Inleiding
1. De inleiding van deze masterproef heeft als bedoeling de lezer een duidelijk beeld te
geven omtrent het onderzoeksopzet en de onderzoeksmethodologie. Er volgt een korte inleidende anekdote van een fictieve nieuwe betalingsdienstaanbieder waarop deze masterproef betrekking heeft. Daarna wordt het onderzoeksopzet afgebakend zodat duidelijk is welke onderzoeksvragen deze masterproef poogt te beantwoorden. Vervolgens wordt een korte beschrijving aangereikt van de gebruikte onderzoeksmethodes. Ten slotte wordt een maatschappelijke situering van het onderzoeksopzet gepresenteerd.
Inleidende anekdote
2. Laat ons ons even inbeelden dat u boodschappen gaat doen en dat, wanneer u bij de
kassier komt, u merkt dat u uw betaalkaart thuis vergeten bent. Gelukkig staat er een icoontje van Pay1 aan de kassa. U had voordien reeds Pay geïnstalleerd op uw smartphone met uitdrukkelijke toestemming en had daar één van uw betaalkaarten van uw bank aan toegevoegd als mogelijk betaalmiddel. U scant met uw smartphone de QR-code. Hierna bevestigt u de betaling door het scannen van uw vingercode of het invoeren van uw
pin-code. En voilà, de betaling wordt bevestigd en u kunt uw boodschappen meenemen naar
huis. Enkele dagen later krijgt u een persoonlijke e-mail van Pay met daarin een advertentie omtrent een nieuwe nevendienst die door Pay wordt verzorgd. Nieuwsgierig en verrast door het feit dat u door Pay werd gecontacteerd, besluit u om die privacyverklaring op de website van Pay toch eens aandachtiger te bekijken. Wat blijkt, er worden een hele resem aan gegevens verzameld en verwerkt voor bepaalde doeleinden en u vraagt zich luidop af: “Kan dit wel?”, “Ik heb hier toch allemaal geen toestemming voor gegeven?”.
5
AFDELING 1: Situering van het onderzoeksopzet
3. In het kader van deze masterproef wordt het rechtmatig verwerken van
betalingsgegevens van consumenten bestudeerd vanuit het standpunt van de betalingsinitiatie- en rekeninginformatiedienstaanbieder2 en vanuit het wettelijk kader van de Richtlijn nr. 2015/2366 betreffende betalingsdiensten in de interne markt3 (hierna: PSD II) en de Verordening nr. 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens (hierna: GDPR).4 Om deze centrale onderzoeksvraag op te lossen moeten enkele ondergeschikte aspecten worden behandeld.
4. In de eerste plaats dienen een aantal basisbegrippen inzake PSDII en het betalen an
sich te worden geformuleerd en uitgelegd. Hierdoor krijgt de lezer van deze masterproef
een voldoende grote basis mee om de masterproef te begrijpen. Om deze basis te verzorgen zal een algemeen overzicht worden geschetst van wat betalingsinitiatiediensten en rekeninginformatiediensten zijn. Tevens moet bij het begrip betalingstransactie worden stilgestaan. De betalingsinitiatiedienstaanbieders initiëren immers betalingstransacties ten behoeve van de betalingsdienstgebruiker. Deze betalingstransacties worden uitgevoerd vanuit een betaalrekening die de betalingsdienstgebruiker aanhoudt bij een andere rekeninghoudende betalingsdienstaanbieder. Er wordt dan ook stilgestaan omtrent het begrip betaalrekening en hoe dit ingevuld moet worden. Betalingsinitiatie- en rekeninginformatiedienstaanbieders zijn ‘nieuwe’ soorten betalingsdienstaanbieders. Het is dan ook opportuun om na te gaan waar deze dienstaanbieders zich bevinden in het betalingsverkeer. Om de plaats van deze betalingsdienstaanbieders duidelijk te maken wordt eerst ingegaan op de (uitgebreide) traditionele betaalketen met zijn verschillende stappen. Daarna wordt aan de hand van schema’s duidelijk hoe de ‘nieuwe’ dienstaanbieders zich verhouden tot deze traditionele betaalketen.
2 Zie verder onder randnummer 10 en 12.
3 Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG, Pb.L. 23 december 2015, afl. 337, 35-127.
4 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016
betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, PB.L. 4 mei 2016, afl. 119, 1.
6 Ten tweede moet bijzondere aandacht worden geschonken aan de manier waarop betalingsdienstaanbieders toegang krijgen tot betaalrekeningen. PSDII introduceert namelijk de zogenoemde Open Banking.5 Betalingsinitiatie- en rekeninginformatiedienstaanbieders kunnen enkel hun diensten verlenen indien zij toegang verkrijgen tot de betaalrekening van een betalingsdienstgebruiker die bij een andere betalingsdienstaanbieder wordt aangehouden. Deze toegang is van primordiaal belang voor de dienstverlening en voor de vergaring van betalingsgegevens, hetgeen de centrale onderzoeksvraag impliceert. Daarom worden de wettelijke bepalingen in hoofde van PSDII omtrent deze toegang onderzocht. Bovendien is het noodzakelijk om ook de technische reguleringsnormen daaromtrent te onderzoeken. Op deze manier wordt duidelijk op welke wijze toegang tot betaalrekening wordt geïnstalleerd en aan welke voorwaarden geïnitieerde betalingstransacties moeten voldoen.
Tertiair dient een overzicht te worden gemaakt van welke gegevens betalingsinitiatie- en rekeninginformatiediensten gebruik maken. Aan de hand hiervan kan dan overgegaan worden tot de kwalificatie deze betalingsgegevens in hoofde van de GDPR. Om dit na te gaan was het naar mijns inziens noodzakelijk om enkele case-studies op te nemen. Van deze case-studies zullen de privacyverklaringen van naderbij worden bestudeerd. Hierdoor is het mogelijk om de gegevens die worden verzameld in kaart te brengen, deze te ordenen en op basis daarvan een soort van Data Protection Impact Assessment op te maken.
Ten slotte wordt het aan de hand van deze ondergeschikte onderzoeksvragen mogelijk om de gegevensverwerkende regels in zowel PSDII als de GDPR te onderzoeken en de centrale onderzoeksvraag te beantwoorden. Hiervoor bekijken we in de diepte de specifieke bepalingen binnen PSDII en gaan we na of deze (in)compatibel zijn met de regels in de GDPR. Volledigheidshalve wordt ook kort stilgestaan bij aansprakelijkheid en
oversight. Op deze manier kunnen we een algemeen besluit maken inzake
gegevensverwerking door betalingsinitatie- en rekeninginformatiedienstaanbieders en hoe deze compliant kunnen zijn aan beide regelgevingen.
5 Onder Open Banking wordt staan: “Een veilige manier om betalingsdienstaanbieders toegang te
verlenen tot financiële informatie”. Definitie op: https://www.openbanking.org.uk /customers/what-is-open_banking/#:~:text=Open%20Banking%20is%20the%20secure ,businesses%20get%20a%20better%20deal.
7
AFDELING 2: Onderzoeksmethoden
5. Doorheen de masterproef worden 4 onderzoeksmethodes gehanteerd.
Als eerste gaat het om het klassieke juridische onderzoek. Wanneer het gaat over PSDII baseert het te voeren onderzoek zich op de Europese wetgeving. PSDII voorziet in maximale harmonisatie. Dit zorgt ervoor dat de lidstaten geen bepalingen mogen handhaven of invoeren die afwijken van de Richtlijn. Met andere woorden, de rechtsregels zouden overal dezelfde moeten zijn voor alle lidstaten. Aangezien sommige lidstaten PSDII vroeger hebben omgezet in nationaal recht, bijvoorbeeld Duitsland, en de regels overal dezelfde dienen te zijn, werd naast Belgische, ook buitenlandse rechtsleer6 gehanteerd om bepaalde vraagstukken op te lossen.
Ten tweede werd, waar nodig, wetshistorisch onderzoek verricht naar nieuwigheden en wijzigingen in wetsartikels door de omzetting van PSDII en de implementatie van de GDPR. Dit wetshistorisch onderzoek werd zowel op Europees als Belgisch niveau verricht met betrekking tot die bepalingen die nodig zijn voor het te voeren onderzoek.
Bij Europees wetshistorisch onderzoek werden verschillende Europese instanties geraadpleegd. Bij Belgisch wetshistorisch werd onderzoek verricht naar de verschillende memories van toelichting van de desbetreffende wetgevende handelingen.
Ten derde werd een marktonderzoek gedaan naar de verschillende soorten betalingsinitiatie- en rekeninginformatiedienstaanbieders die diensten verrichten binnen België. Het gaat hier zowel om betalingsinstellingen met een vergunning in België, als geregistreerde betalingsinstellingen in België die rekeningaggregatiediensten aanbieden.7 Dit was nodig om de derde ondergeschikte onderzoeksvraag op te lossen. Aan de hand van het onderzoeken van de privacy-policies en algemene voorwaarden kon een duidelijk beeld worden gemaakt van de gegevensstromen.
Ten vierde zullen er, aan de hand van het marktonderzoek dat werd verricht, case studies plaatsvinden. Het is nuttig om aan de hand van deze case studies de werking van betalingsinitatie- en rekeninginformatiedienstaanbieders duidelijk te maken.
6 Het gaat om Duitse, Nederlandse en Franse rechtsleer.
7 Zie lijst NBB, beschikbaar op
8
AFDELING 3: Situering PSDII en GDPR
Onderafdeling 1: PSDII
6. De nieuwe richtlijn betalingsdiensten PSDII heeft, door onder meer het materieel
toepassingsgebied uit te breiden ten opzichte van PSDI,8 ‘nieuwe’ soorten betalingsdiensten onder haar toepassingsgebied geplaatst en de aanbieders ervan gereguleerd. Deze diensten moeten namelijk onder het toepassingsgebied van PSDII vallen teneinde consumenten voldoende bescherming te bieden in verband met hun betalings- en rekeninggegevens , alsmede rechtszekerheid te bieden in verband met de status van deze betalingsdienstaanbieders. Daarenboven was de uitbreiding van het toepassingsgebied nodig om deze betalingsdienstaanbieders de regels met betrekking tot veiligheid, aansprakelijkheid en mededinging na te doen leven, aldus overweging 28 en 29 PSDII.
7. In de Belgische rechtsorde werd de PSDII-richtlijn laattijdig omgezet aan de hand van
de Wet van 11 maart 2018 betreffende het statuut van en het toezicht op de betalingsinstellingen en instellingen voor elektronisch geld, de toegang tot het bedrijf van betalingsdienstaanbieder en tot de activiteit van uitgifte van elektronisch geld, en de toegang tot betalingssystemen (hierna: Wet van 11 maart 2018),9 in werking getreden op 26 maart 2018. Deze Wet voorziet in het prudentieel regime van PSD II. Daarenboven werden de privaatrechtelijke aspecten van PSDII omgezet door de Wet van 19 juli 2018 houdende wijziging en invoering van bepaling inzake betalingsdiensten in verschillende boeken van het Wetboek van Economisch Recht10 in werking getreden op 9 augustus 2018.
8 Richtlijn nr. 2007/64/EG van het Europees Parlement en de Raad van 13 november 2007 betreffende betalingsdiensten in de interne markt tot wijziging van de Richtlijnen 97/7/EG, 2002/65/EG, 2005/60/EG en 2006/48/EG, en tot intrekking van Richtlijn 97/5/EG, PB.L. 5 december 2007, afl. 319, 1-36.
9 Wet van 11 maart 2018 betreffende het statuut van en het toezicht op de betalingsinstellingen
en instellingen voor elektronisch geld, de toegang tot het bedrijf van betalingsdienstaanbieder en tot de activiteit van uitgifte van elektronisch geld, en de toegang tot betalingssystemen, BS 26 maart 2018, 29.444.
10 Wet van 19 juli 2018 houdende wijziging en invoering van bepalingen inzake betalingsdiensten
9
8. PSDII heeft betrekking op betalingsdiensten en giraal betalen. Betalen wordt de laatste
tijd meer en meer onder de media-aandacht gebracht. Kranten en online media schrijven uitgebreid over allerlei ontwikkelingen in het betalingsverkeer.11 Onze betalingsmethodes evolueren dan ook constant mee met de moderne samenleving van vandaag. Technologische ontwikkelingen dragen bij aan deze nieuwgevonden aandacht door verschillende innovaties die daaruit zijn voortgevloeid. Deze technologische ontwikkelingen zijn onder meer het internet, de mogelijkheid van mobiel dataverkeer en steeds meer geavanceerde smartphones. Aan de hand van deze nieuwe technologieën kunnen nieuwe diensten zich ontwikkelen en daarmee samenhangend nieuwe spelers zich plaatsen op de betaalmarkt. Zo zijn er diensten die betalen makkelijker maker, bijvoorbeeld contactloos of mobiel betalen, mobiele wallets, en werd tevens de introductie gedaan van realtime betalen (de instant payment).12
9. De nieuwe spelers op de markt van betalingsdienstaanbieders zijn in alle uithoeken te
vinden. Het gaat om technische serviceproviders die diensten aan betalingsdienstaanbieders leveren, internetbanken, telecombedrijven, RegTech-aanbieders die zorgen voor compliance tussen de nieuwe dienstRegTech-aanbieders, hun producten en vigerende regelgeving, en natuurlijk de Fintech- en BigTech bedrijven die betaalproducten ontwikkelen.13
De nieuwe diensten en spelers brengen naast betaalgemak ook complexiteit en nieuwe risico’s met zich mee. Zo kan men zich aan de hand van nieuwe authenticatiemiddelen identificeren, zoals een vingerafdruk of gezichtsherkenning. Deze nieuwe authenticatiemiddelen zijn evenwel niet onfeilbaar en brengen onder meer het gevaar van hacking en misbruik met zich mee, met alle gevolgen van dien. Nieuwe spelers leiden tevens tot nieuwe schakels in de betaalketen, waardoor het aantal veiligheidsrisico’s dreigt te stijgen. Dit zorgt voor grote uitdagingen in het betalingsverkeer.14
Twee van deze nieuwe, gereguleerde diensten die het middelpunt vormen van deze masterproef betreffen de betalingsinitiatie- en rekeninginformatiedienst.
11 F. DE BOSSCHERE, “Opinie: Geef uw geld vleugels dankzij PSD2”, De Redactie, 16/01/2018,
www.vrt.be/vrtnws/nl/2018/01/16/opinie-frederik-de-bosschere-psd2/.
12 J.A. VOERMAN, Betaaldiensten 2.0: Toezicht op innovatieve betaaldiensten, Zutphen, Paris, 2019,
19. (hierna als J.A. VOERMAN, Betaaldiensten 2.0). 13 Ibid.
10
1.1 Betalingsinitiatiedienst
10. Een betalingsinitiatiedienst wordt gedefinieerd als een dienst voor het initiëren van
een betalingsopdracht, op verzoek van de betalingsdienstgebruiker, met betrekking tot een betaalrekening die bij een andere betalingsdienstaanbieder wordt aangehouden.15 Een essentieel kenmerk van deze dienst is dat het moet gaan om een betalingstransactie waarbij de betaalrekening bij een andere betalingsdienstaanbieder wordt aangehouden.16 De desbetreffende betaalrekening wordt dus aangehouden door een betalingsdienstaanbieder die verschillend is van de betalingsdienstaanbieder die de betalingsinitiatiedienst verzorgd, de zogenaamde rekeninghoudende betalingsdienstaanbieder.17
Betalingsinitiatiediensten worden onder meer gebruikt op het gebied van elektronische handel door een softwareverbinding tot stand te brengen tussen de website van de handelaar en het platform voor internetbankieren van de rekeninghoudende betalingsdienstaanbieder van de betaler. Op deze manier worden internetbetalingen geïnitieerd op basis van een betalingsopdracht.18 Ze vormen een goedkope oplossing voor zowel handelaren als consumenten en bieden consumenten een mogelijkheid om ook zonder betaalkaart19 online te winkelen.20 Daarenboven bieden betalingsinitiatiediensten ook de mogelijkheid om onder particulieren gelden over te maken, zonder dat het hierbij noodzakelijk is om in te loggen op de e-bankingwebsite of de mobiele applicatie.21
15 Art. 4, punt 15 PSDII; Art. I.9., 33/11° WER.
16 Dit moet evenwel genuanceerd worden door het feit dat een betalingsinstelling bijvoorbeeld
zelf ook een betaalrekening kan verzorgen, maar daarnaast betalingsinitiatiediensten kan aanbieden voor betalingstransacties op betaalrekeningen die een andere betalingsinstelling aanhoudt. Men spreekt enkel over een betalingsinitiatiedienstaanbieder wanneer deze zelf geen betaalrekeningen uitgeeft.
17 Zo kan u bijvoorbeeld een betaalrekening hebben bij BNP Paribas Fortis en gebruikt Payconiq
om een betaling ten opzichte van die betaalrekening te initiëren. 18 Overw. 27 PSDII.
19 Met betaalkaart wordt hier bedoeld een Creditcard.
20 Overw. 29 PSDII; MvT, Parl. St. Kamer, Doc. 54, 3131/001, 9.
21 R. STEENNOT, “Commentaar bij art. I.9, 33/11°-33/15° WER” in X (ed.), Financieel recht.
Artikelsgewijze commentaar met overzicht van de rechtspraak en rechtsleer, IV.Bankverrichtingen,
11
11. Betalingsinitiatiedienstaanbieders verstrekken dus informatie over betalingsopdrachten aan de rekeninghoudende betalingsdienstaanbieders. Aan de hand van die informatie wordt het mogelijk dat de betaalrekening van de betaler door diens betalingsdienstaanbieder wordt gedebiteerd en anderzijds dat de betaalrekening van de begunstigde door diens betalingsdienstaanbieder wordt gecrediteerd. Het is daarenboven niet vereist dat er een contractuele verhouding bestaat tussen de betalingsinitiatiedienstaanbieder en de rekeninghoudende betalingsdienstaanbieder.22
1.2 Rekeninginformatiedienst
12. Rekeninginformatiediensten zijn onlinediensten die het mogelijk maken om
geconsolideerde informatie te verstrekken over één of meer betaalrekeningen die de betalingsdienstgebruiker bij een andere betalingsdienstaanbieder of bij meer dan één betalingsdienstaanbieder aanhoudt. Dankzij deze diensten krijgt de betalingsdienstgebruiker een online overzicht van de gegevens betreffende de betaalrekeningen die hij bij één of meer betalingsdienstaanbieders aanhoudt en waartoe hij via een online-interface van de rekeninghoudende betalingsdienstaanbieder toegang heeft. Hierdoor kan de betalingsdienstgebruiker een overzicht krijgen van zijn financiële situatie.23
Aan de hand van deze diensten is het dus mogelijk dat verschillende betaalrekeningen bij verschillende rekeninghoudende betalingsdienstaanbieders in één handig overzicht worden gegroepeerd. Het kan gaan om een overzicht van saldi en verrichtingen, maar bijvoorbeeld ook een gestructureerde groepering van het type verrichtingen. Zo zou men de uitgaven kunnen groeperen in functie van verschillende categorieën zoals bijvoorbeeld levensmiddelen, hygiënische producten, aankopen voor onderhoud van de tuin, verzekeringen, uitgaven financiële instrumenten, etc..
13. De rekeninginformatiedienstaanbieder kan enkel ingevolge uitdrukkelijk verleende
instemming van de rekeninghouder toegang verkrijgen tot informatie betreffende saldi en verrichtingen van een betaalrekening die bij een andere betalingsdienstaanbieder wordt aangehouden.
22 R. STEENNOT, “Commentaar bij art. I.9, 33/11°-33/15° WER” in X (ed.), Financieel recht.
Artikelsgewijze commentaar met overzicht van de rechtspraak en rechtsleer, IV.Bankverrichtingen,
C.Betalingsdiensten, Mechelen, Kluwer, 2018, afl. 51, 144; Art. VII.35, §4 WER. 23 Overw. 28 PSDII.
12 Bovendien krijgt de rekeninginformatiedienstaanbieder door middel van instemming van de rekeninghouder enkel toegang tot die financiële informatie die noodzakelijk is om de betrokken dienst uit te voeren. Net zoals het geval was bij betalingsinitiatiedienstaanbieders, is het niet vereist dat er een contractuele verhouding bestaat tussen de rekeninginformatiedienstaanbieder en de rekeninghoudende betalingsdienstaanbieder.24
1.3 Onderscheid betalingsdienstaanbieders
14. Doorheen de masterproef worden de afkortingen ASPSP, PISP en AISP gebruikt.
Deze afkortingen staan respectievelijk voor:
- Account Servicing Payment Service Provider, hieronder te verstaan rekeninghoudende betalingsdienstaanbieders;
- Payment Initiating Service Provider, hieronder te verstaan betalingsinitiatiedienstaanbieders; en
- Account Information Service Provider; hieronder te verstaan rekeninginformatiedienstaanbieders.
15. Wat betreft de betalingsinitiatie- en rekeninginformatiedienstaanbieders kunnen
deze voorkomen in hun puurste vorm als:
- Betalingsinitiators, namelijk betalingsdienstaanbieders die uitsluitend betalingsinitiatiediensten aanbieden;25 en
- Rekeningaggregators, namelijk betalingsdienstaanbieders die uitsluitend rekeninginformatiediensten aanbieden.26
24 R. STEENNOT, “Commentaar bij art. I.9, 33/11°-33/15° WER” in X (ed.), Financieel recht.
Artikelsgewijze commentaar met overzicht van de rechtspraak en rechtsleer, IV.Bankverrichtingen,
C.Betalingsdiensten, Mechelen, Kluwer, 2018, afl. 51, 144; Art. VII.36, §2 WER. 25 MvT, Parl. St. Kamer, Doc 54, 2896/001, 18.
13 Er gelden afwijkende regels inzake het vergunnings-27 en registratiebeleid28 voor dergelijke betalingsdienstaanbieders. De afwijkende regels inzake vergunnings- en registratiebeleid komen verder niet aan bod in deze masterproef aangezien dit ons te ver zou leiden van het onderzoeksopzet van deze masterproef. Er dient eveneens opgemerkt te worden dat de voorschriften inzake gegevensbescherming uit PSDII niet van toepassing zijn op rekeningaggregators.29
16. Wanneer in deze masterproef de afkortingen PISP en AISP worden gebruikt, wordt
niet automatisch uitgegaan van de puurste vorm zoals beschreven hiervoor. Het gaat dus meestal om betalingsdienstaanbieders die binnen hun totaalpakket van financiële dienstverlening ook een betalingsinitatie- of rekeninginformatiedienst aanbieden en voor het uitvoeren van deze dienst fungeren als een betalingsinitatiedienstaanbieder
PISP of rekeninginformatiedienstaanbieder AISP.30 Overigens is voor deze masterproef
in het kader van gegevensverwerking enkel nodig om bij de rekeningaggregator onderscheid te maken van alle andere betalingsdienstaanbieders vanwege de uitsluiting van gegevensverwerkende bepalingen in PSDII. Er zal dan ook waar nodig onderscheid worden gemaakt indien andere bepalingen van toepassing zijn voor deze vorm.
27 Betalingsinitiators hoeven geen maatregelen te treffen ter bescherming van de geldmiddelen
van de gebruiker aangezien zij op geen enkel moment in het bezit komen van de geldmiddelen van de betalingsdienstgebruiker, art. 5, eerste lid, d) PSDII; Art. 10, eerste lid, 4° Wet van 11 maart 2018; MvT, Parl. St. Kamer, Doc, 54, 2896/001, 35; Betalingsinitiators zijn onderworpen aan de vereisten inzake aanvangskapitaal, maar vrijgesteld aan de aanvullende eigenvermogensvereiste, art. 33, §2 Wet van 11 maart 2018.
28 Rekeningaggregators zijn vrijgesteld van vergunningsplicht, maar dienen zich wel te
registreren overeenkomstig art. 33, eerste lid PSDII; Art. 89 Wet van 11 maart 2018; MvT, Parl.
St. Kamer, Doc 54, 2896/001, 104.
29 Art. 33, tweede lid PSD stelt namelijk dat: “(…) Titels III en IV [van de Richtlijn] niet van
toepassing zijn [op rekeningaggregators, waaronder hoofdstuk 4: Gegevensbescherming], met uitzondering van bepaalde artikels”.
14
Onderafdeling 2: GDPR
17. De Algemene Verordening Gegevensbescherming heeft de Richtlijn 95/46/EG
betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens vervangen.31 Door deze Verordening wil men de gefragmenteerde wijze waarop persoonsgegevens werden beschermd en de rechtsonzekerheid die deze teweeg heeft gebracht verhelpen.32 Daarenboven zorgden deze verschillen in beschermingsregimes voor een belemmering van de uitoefening van economische activiteiten op het Unieniveau en verstoorden zij de mededinging.33
De GDPR werd laattijdig omgezet in Belgisch recht in de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.34
18. Het toepassingsgebied van de GDPR betreft enkel de bescherming van natuurlijke
personen bij de verwerking van persoonsgegevens.35 Om deze reden blijft het onderzoekopzet van deze masterproef beperkt tot verwerken van betalingsgegevens van consumenten.36 Er moet echter worden op gewezen dat PSDII niet enkel betalingsdiensten regelt voor natuurlijke personen, maar tevens ook voor rechtspersonen die als betalingsdienstgebruiker kwalificeren.37
31 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende
de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PB.L., 23 november 1995, afl. 281, 31-50.
32 Overw. 10 GDPR.
33 Overw. 9 GDPR.
34 Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot
de verwerking van persoonsgegevens, BS 5 september 2018, 68616.
35 Art. 4, lid 1 GDPR definieert persoonsgegevens als alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; Art. 1 en 2 GDPR.
36 Art. 4, lid 20 PSDII stelt dat een consument een natuurlijke persoon is die, in
betalingsdienstovereenkomsten onder PSDII, voor doeleinden handelt die buiten zijn bedrijfs- of beroepswerkzaamheden liggen.
15 De rechtspersonen die door PSDII als betalingsdienstgebruikers gekwalificeerd worden, worden evenwel voor deze masterproef buiten beschouwing gelaten omdat het verwerken van rechtspersoonsgegevens niet onder het toepassingsgebied van de GDPR valt.38
19. Mede door snelle technologische ontwikkelingen en globalisering zijn er nieuwe
uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is dan ook significant gestegen. Dankzij deze technologische ontwikkelingen kunnen bedrijven en overheden bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens.39 Onder deze technologische ontwikkelingen kunnen we eveneens betalingsinitiatie- en rekeninginformatiediensten plaatsen. Aangezien er persoonsgegevens van natuurlijke personen worden verwerkt (namelijk financiële informatie van consumenten)40, dienen dergelijke betalingsdienstaanbieders bij de verwerking van deze gegevens rekening te houden met de GDPR.
20. Het onderzoeksopzet blijft in grote mate beperkt tot de verwerking van
persoonsgegevens door PISP’s en AISP’s. Toch kan een extrapolatie worden gemaakt naar andere betalingsdienstaanbieders wanneer zij persoonsgegevens verwerken vanwege het overkoepelend principe inzake gegevensverwerking door betalingsdienstaanbieders geformuleerd in art. 94 PSDII.41 Mits enkele uitzonderingen in bepaalde betalingsgegevens42 zijn dezelfde voorschriften inzake gegevensverwerking en bescherming van toepassing op alle betalingsdienstaanbieders die betalingsdiensten aanbieden in de Unie.43
38 A contrario Art. 2, lid 1 GDPR. 39 Overw. 6 GDPR.
40 Zie verder onder Deel 2.
41 Art 94, lid 2 PSDII stelt dat betalingsdienstaanbieders, met uitzondering van
rekeningaggregators, enkel met uitdrukkelijke toestemming van de betalingsdienstgebruiker toegang mogen krijgen tot persoonsgegevens die noodzakelijk zijn voor het aanbieden van hun betalingsdiensten, deze verwerken en bewaren.
42 Art. 4, lid 32 PSDII definieert gevoelige betalingsgegevens als gegevens waarmee fraude kan
worden gepleegd, waaronder persoonlijke beveiligingsgegevens. Voor de activiteiten van betalingsinitiatiedienstaanbieders en rekeninginformatiedienstaanbieders vormen de naam van de rekeninghouder en het rekeningnummer geen gevoelige betalingsgegevens.
16
DEEL I: Inleidende begripsbepaling
AFDELING 1: Inleiding
21. PSD II ziet, evenals PSD, in beginsel uitsluitend toe op elektronische
betalingstransacties. Dit wordt ook bevestigd door overweging 22 PSDII waarin vermeld wordt dat de nieuwe Richtlijn de aanpak van PSD moet volgen. PSD bestrijkt alle soorten elektronische betalingsdiensten.44 Verder geeft de overweging aan dat het daarom niet passend zou zijn dat de nieuwe regels van toepassing zijn op diensten waarbij de overdracht van geldmiddelen van betaler aan de begunstigde of het transport ervan uitsluitend in de vorm van bankbiljetten en munten plaatsvindt. Evenmin is het passend dat de nieuwe regels van toepassing zijn wanneer de overdracht is gebaseerd op een papieren cheque, een papieren wisselbrief, promesse of ander instrument, papieren vouchers of kaarten die door een betalingsdienstaanbieder of een andere partij zijn uitgegeven met de bedoeling geldmiddelen beschikbaar te stellen aan de begunstigde. In overweging 23 PSD II wordt duidelijk dat de toepassing van deze Richtlijn niet de betalingstransacties in contanten onder haar toepassingsgebied plaatst, aangezien er reeds een eengemaakte markt voor betalingen in contanten bestaat.45 Ook worden papieren cheques uit het toepassingsgebied van PSD II gelaten. Dit vanwege hun aard, die als niet even efficiënt wordt bestempeld ten aanzien van het verwerken van deze betalingen in vergelijking met andere betaalmiddelen.46
Hieruit is duidelijk dat betalingstransacties met contant geld of papieren geldmiddelen, zoals cheques, buiten de scope van PSD II vallen. Een uitzondering hierop, en de enige chartale betalingstransactie, vormen de geldtransfers.
44 Overw. 22 PSD II. 45 Overw. 23 PSD II. 46 Ibid.
17
AFDELING 2: Begripsbepaling
Onderafdeling 1: Betalingstransactie 1.1 Algemeen
22. Volgens PSD II is de betalingstransactie een handeling waarbij geldmiddelen worden
gedeponeerd, overgemaakt of opgenomen, ongeacht of er onderliggende verplichtingen tussen de betaler en de begunstigde zijn.47 Deze handeling kan zowel door de betaler of voor zijn rekening zijn geïnitieerd. Daarnaast kan deze handeling door (of via) de begunstigde worden geïnitieerd.
1.1.1 Door de betaler of voor zijn rekening
23. Indien de handeling door de betaler zelf werd geïnitieerd betreft het een ‘klassieke’
betaling zoals de overschrijving, een doorlopende opdracht maar bijvoorbeeld ook een betaling met PayPal.48
Indien de handeling voor rekening van de betaler werd geïnitieerd betreft het de hypothese waarin de betalingsopdracht door de betaler via een betalingsinitiatiedienstaanbieder werd verricht.49
1.1.2 Door (of via) de begunstigde geïnitieerd
24. De handeling kan ook door de begunstigde zijn geïnitieerd, zoals bij een
domiciliëring.50 Daarnaast kunnen betalingstransacties ook via de begunstigde worden geïnitieerd. Voorbeelden daarvan zijn onder andere betalingstransacties die met een Bancontact/Maestro-kaart of een kredietkaart gegeven worden.51
47 Art. 4, punt 5 PSD II; Art. I.9,6° WER.
48 Art. I.9, 1°, c), derde streepje WER; R. STEENNOT, “Commentaar bij art. I.9, 6°-10° WER” in X
(ed.), Financieel recht. Artikelsgewijze commentaar met overzicht van de rechtspraak en rechtsleer, IV.Bankverrichtingen, C.Betalingsdiensten, Mechelen, Kluwer, 2018, afl. 51 (87)-89.
49 MvT, Parl. St. Kamer, Doc. 54, 3131/001, 8.
50 In PSD II spreekt men over een automatische afschrijving zie art. 4, (22) PSD II.
51 R. STEENNOT, “Commentaar bij art. I.9, 6°-10° WER” in X (ed.), Financieel recht. Artikelsgewijze
commentaar met overzicht van de rechtspraak en rechtsleer, IV.Bankverrichtingen,
18 VOERMAN en STEENNOT merken op dat een betalingstransactie vanuit het perspectief van de PSD(II) neutraal is ten opzichte van verbintenisrechtelijke gevolgen. Het is namelijk niet noodzakelijk dat er een schuld wordt voldaan.52
Een overschrijving tussen twee eigen rekeningen is volgens PSD(II) ook een betalingstransactie. Verder dient een schenking van een bepaalde geldsom53 als een betalingstransactie te worden verstaan onder PSD(II). Voor een betalingstransactie is het dus voldoende dat er een verschuiving plaatsvindt van geldmiddelen.54
1.2 Geldmiddelen
25. Geldmiddelen zijn bankbiljetten en muntstukken, giraal geld of elektronisch geld
zoals gedefinieerd in art. 2 punt 2 EMD2.55 Een betalingstransactie betekent dus ook het geven van contanten van de ene persoon aan de andere, maar zoals in randnummer 21 werd geschreven valt deze transactie buiten de scope van PSD(II). Giraal geld wordt door de PSD(II) niet gedefinieerd. Het moet worden aanzien als beschikbare tegoeden op een geldrekening, het betreft als het ware een (virtuele) inschrijving op een rekening.56
1.3 Het deponeren en opnemen van geldmiddelen
26. Het deponeren en opnemen van geldmiddelen betekent het plaatsen en opnemen van
contanten op een betaalrekening aan de hand van bijvoorbeeld een geldautomaat.57
1.4 Het overmaken van geldmiddelen
27. Voor geldovermakingen (transfer of funds) zijn er twee varianten. Het kan in de eerste
plaats gaan om een geldovermaking tussen twee betaalrekeningen. Daarbinnen zijn er twee vormen. De eerste vorm is de overschrijving (credit transfer).
52 Art. 1234, lid 1 BW j° Art. 1235, lid 1 BW.
53 R. STEENNOT, “Commentaar bij art. I.9, 6°-10° WER” in X (ed.), Financieel recht. Artikelsgewijze
commentaar met overzicht van de rechtspraak en rechtsleer, IV.Bankverrichtingen,
C.Betalingsdiensten, Mechelen, Kluwer, 2018, afl. 51 (87)-89. 54 Ibid; J.A. VOERMAN, betaaldiensten 2.0, 54.
55 Elektronisch geld: elektronisch, met inbegrip van magnetisch, opgeslagen monetaire waarde
vertegenwoordigd door een vordering op de uitgever, welke is uitgegeven in ruil voor ontvangen geld om betalingstransacties als gedefinieerd in artikel 4, punt 5, van Richtlijn 2007/64/EG te verrichten, en welke wordt aanvaard door een andere natuurlijke of rechtspersoon dan de uitgever van elektronisch geld.
56 G. SCHRANS en R. STEENNOT, Algemeen deel van het financieel recht, Antwerpen, Intersentia,
2003 nr. 55, 43.
19
1.4.1 Overschrijving
28. Bij een overschrijving zal de rekeninghouder een instructie geven (dit wordt ook wel
aangeduid als een ‘push-transactie’). De definitie van overschrijving luidt: een betalingsdienst voor het crediteren van de betaalrekening van een begunstigde met een betalingstransactie of een reeks betalingstransacties van een betaalrekening van een betaler door de betalingsdienstaanbieder die de betaalrekening van de betaler beheert, op basis van een door de betaler gegeven instructie.58
1.4.2 Domiciliëring
29. De domiciliëring (direct debit) betreft de tweede vorm. Deze transactie wordt
geïnitieerd door de begunstigde op basis van door betaler verleende instemming (dit wordt ook als ‘pull-transactie’ aangeduid). De definitie van domiciliëring luidt: een betalingsdienst voor debiteringen van de betaalrekening van een betaler, waarbij een betalingstransactie wordt geïnitieerd door de begunstigde op basis van een door de betaler aan de begunstigde, of aan de betalingsdienstaanbieder van de begunstigde dan wel aan de betalingsdienstaanbieder van de betaler verleende instemming.59
1.4.3 Geldtransfer
30. De andere variant van geldovermaking betreft de geldtransfer. De definitie van
geldtransfer luidt: een betalingsdienst waarbij, zonder dat een betaalrekening op naam van de betaler of de begunstigde wordt geopend, van een betaler geldmiddelen worden ontvangen met als enig doel het daarmee corresponderende bedrag over te maken aan een begunstigde of aan een andere, voor rekening van de begunstigde handelende betalingsdienstaanbieder en/of waarbij de geldmiddelen voor rekening van de begunstigde worden ontvangen en aan de begunstigde beschikbaar worden gesteld.60 Bij een geldtransfer komen er dus geen betaalrekeningen aan te pas van de betaler, noch van begunstigde. De betalingsdienstaanbieder ontvangt de geldmiddelen van de betaler en beheert ze, maar plaatst deze niet op een betaalrekening.
58 In de Richtlijn spreekt men over “overmaking” in plaats van overschrijving, zie art. 4, punt 24
PSD II; Art. I.9, 1°, c), derde streepje WER.
59 In de Richtlijn spreekt men over “automatische afschrijving”, zie art. 4, punt 23 PSDII; Art. I.9, 1°, c), eerste streepje WER.
20
1.5 Conclusie
31. Er zijn betalingsdienstaanbieders die betaalrekeningen voor hun cliënten aanhouden,
namelijk de rekeninghoudende betalingsdienstaanbieders, ook wel ASPSP’s genoemd.61 Deze kunnen overschrijvingen en domiciliëringen uitvoeren. Voor niet-rekeninghoudende betalingsdienstaanbieders blijven dus in principe de geldtransfers als betalingsdienst over. Deze vaststelling verdient enige nuance en zal verder worden besproken bij de nadere duiding van betalingsdiensten. Toch blijft dit in principe een basisbeginsel.
21
Onderafdeling 2: Betaalrekening 2.1 Algemeen
32. Aangezien hierboven het initieel onderscheid werd gemaakt tussen wel en
niet-rekeninghoudende betalingsdienstaanbieders, dient enige verdere uitleg te worden verschaft over wat precies onder een (betaal)rekening moet worden verstaan. Dit is immers van uitermate belang aangezien de betalingsinitiatie- en rekeninginformatiedienstaanbieders voor hun diensten enkel toegang hebben tot betaalrekeningen.62
Een betaalrekening wordt gedefinieerd als een op naam van een of meer betalingsdienstgebruikers aangehouden rekening die voor de uitvoering van betalingstransacties wordt gebruikt.63 De definitie van betaalrekening uit PSDII is op ieder punt gelijk met die van PSD. Deze definitie heeft een uitgebreide totstandkomingsgeschiedenis met vele wijzigingen.64
2.2 PSD
33. Uit een letterlijke interpretatie van deze definitie zou blijken dat men een
betaalrekening zou kunnen kwalificeren als iedere (bank)rekening waarop geldmiddelen kunnen worden gestort, waarvan of waarnaar geldmiddelen worden overgemaakt of waarvan geldmiddelen kunnen worden opgenomen. Deze letterlijke definitie zou er toe leiden dat ook spaarrekeningen onder het toepassingsgebied zouden komen te vallen van PSD.65
62 Zie definitie betalingsinitiatiedienst en rekeninginformatiedienst, respectievelijk art. 4, punt 15 en 16 PSDII.
63 Art. 4, punt 12 PSD II; Art. I.9, 8° WER.
64 Zie ook R. Wandhöfer, EU Payments Integration, The Tale of SEPA, PSD and Other Milestones
Along the Road, Londen, Palgrave Macmillan, 2010, 77-117.
65 Hetgeen ook het standpunt was van de Europese Commissie op een bepaald moment. De
Europese Commissie heeft in de Q&A van 2008 haar zienswijze verduidelijkt dat een spaarrekening als betaalrekening gekwalificeerd kan worden indien de rekeninghouder zonder aanvullende betrokkenheid of toestemming van de betalingsdienstaanbieder gelden kan deponeren, overmaken of opnemen op of van de rekening. Het moet in wezen gaan over een vrijelijk te beschikken rekening. Zie Q&A (Comm.) vragen 150 en 187, beschikbaar op https://ec.europa.eu/info/sites/info/files/faq-transposition-psd-22022011_en.pdf.
22
34. De PSD Expert Group stelde voor om met betrekking tot de invulling van het begrip
betaalrekening een principle-based approach te hanteren. Hierbij zou moeten worden geoordeeld op basis van het onderliggende doel, de functie en de contractuele voorwaarden van de rekening. Het is namelijk het onderliggende doel van PSD om uitsluitend rekeningen in de scope te brengen van deze regelgeving waarvan het voornaamste doel het uitvoeren van betalingstransacties is.66
De Belgische wetgever heeft bij de implementatie van PSD eveneens een principle-based
approach gehanteerd met het ‘hoofddoelcriterium’.67 In wezen komt het erop neer dat enkel die rekeningen als betaalrekeningen kunnen worden gekwalificeerd indien die als hoofddoel hebben betalingen te verrichten. Sporadisch enkele betalingen verrichten op een rekening die als hoofddoel wordt gebruikt voor andere doeleinden (sparen, beleggen), kan niet worden aangemerkt als het verlenen van betalingsdiensten of betalingen van of naar een betaalrekening.68 Deze soort zienswijze werd ook door andere Lidstaten gehanteerd.69
66 Guidance paper (PSD Expert Group), Guidance for the Implementation of the Payment Services
Directive, Augustus 2009, 11 beschikbaar op:
https://www.ebf.eu/wp-content/uploads/2017/01/Brochure-_24-08-09-PSD-Web-2009-01152-01-E.pdf.
67 G. HENNARD, “La loi du 19 juillet 2018 portant modification et insertion de dispositions en
matière de services de paiement dans différents livres du Code de droit économique”, DBF 2019, afl 1, 27 (hierna als : G. HENNARD, “La loi du 19 juillet 2018”).
68 Wetsontwerp betreffende de betalingsdiensten, Parl. St. Kamer 2008-09, nr. 2179/001, 14-15,
“(…) Volgens de letterlijke lezing of interpretatie [van de definitie betaalrekening] zouden hieronder
in principe ook de rekeningen kunnen vallen die niet worden aangehouden met als “hoofddoel” betalingen te kunnen verrichten, maar waarmee wel betalingen worden verricht. Te denken valt aan spaarrekeningen waar sporadisch een betaling mee wordt verricht. Aangezien alle soorten rekeningen die gebruikt kunnen worden om betalingstransacties uit te voeren, door de definitie van de richtlijn gedekt zijn, zouden in principe de regels in de Titels III en IV van de richtlijn gelden voor de transacties uitgevoerd naar en van deze rekeningen. Deze interpretatie is echter te verregaand. Het als bijkomende activiteit verrichten van enkele betalingen op een rekening die met name wordt gebruikt voor andere doeleinden (sparen, beleggen), lijkt a priori niet te kunnen worden aangemerkt als het verlenen van betalingsdiensten of betalingen van of naar een betaalrekening (…)”.
69 Voor Nederland, Kamerstukken II 2008-09, 31892, 3, 15: “(…) Hoewel de richtlijn geen
duidelijkheid verschaft op dit punt, zou het onderbrengen van al deze rekeningen [lees: spaar- en termijnrekeningen] indruisen tegen het doel van de PSD, namelijk regels stellen ten aanzien van betaaldienstverleners die als hoofdactiviteit hebben het verlenen van betaaldiensten (…)”;
Voor Duitsland BaFin Merkblatt -Hinweise zum ZAG: “Die bei Kreditinstituten geführten
Girokonten und die Kreditkartenkonten fallen grundsätzlich unter den Begriff des Zahlungskontos. Auch das Pfändungsschutzkonto nach § 850 ZPO ist ein Zahlungskonto. Sparkonten, auch Online-Sparkonten, die mit einem korrespondierenden Referenzkonto genutzt werden können, sind dagegen keine Zahlungskonten i. S. d. ZAG. Die bloße Überlassung von Geld zur Verwahrung begründet kein Zahlungskonto (…)”.
23
2.3 PSDII
35. Het debat rond wat als betaalrekening kan gekwalificeerd worden is weer komen
bovendrijven bij de implementatie van PSDII. Bij de omzetting van PSDII heeft de Belgische wetgever ervoor gekozen om dezelfde restrictieve houding aan te nemen met betrekking tot de invulling van het begrip betaalrekening.70
Toch zal deze notie van het begrip betaalrekening enige nuancering moeten worden toegeschreven nu het Hof van Justitie zich heeft uitgesproken over het begrip betaalrekening in een recent arrest.71
36. In onderhavig arrest moest het Hof uitspraak doen omtrent een prejudiciële vraag,
gesteld door het Oberster Gerichtshof (Oostenrijks Hooggerechtshof). De Hoge Raad wilde weten of een rekening waarbij een klant onbeperkt toegang had tot de geldmiddelen op een online spaarrekening, maar alle overschrijvingen van en naar deze rekening respectievelijk naar en van de rekening van derden moesten worden uitgevoerd via een andere rekening (een tussenrekeningen die op zichzelf wel kwalificeerde als betaalrekening), als betaalrekening in de zin van art. 4, punt 14 PSD kon gekwalificeerd worden.
37. In zijn conclusie van 19 juni 2018 was de Advocaat Generaal72 reeds tot de
vaststelling gekomen dat de kwalificatie van een rekening als “betaalrekening” in de zin van PSD impliceert dat een betaalrekening een rechtstreekse betrokkenheid moet kunnen hebben bij betalingstransacties met derden.73
“Art. 4, punt 4 van de Richtlijn [PSD] (...) dient aldus te worden uitgelegd dat een
onlinespaarrekening waarop respectievelijk waarvan de betrokken klant – dadelijk en zonder specifieke medewerking van de bank – via tele-banking geld kan storten en opnemen vanaf een op zijn naam aangehouden tussenrekening, te weten een in Oostenrijk geopende rekening-courant, geen ,betaalrekening’ is in de zin van die bepaling en bijgevolg buiten de werkingssfeer van die richtlijn valt.”.74
70 G. HENNARD, “La loi du 19 juillet 2018 », DBF 2019, afl.1, (27)-28.
71 HvJ (5e k.) 4 oktober 2018, nr. C-191/17, ECLI:EU:C:2018:809, Bundeskammer für Arbeiter und
Angestellte/ ING Diba Direktbank Austria.
72 Conclusie A-G Tanchez van 19 juni 2018, ECLI:EU:C:2018:466.
73 J.A. VOERMAN, Betaaldiensten 2.0, 59.
24
38. Het Hof stelt vast dat uit de bewoordingen van de betreffende bepalingen in PSD niet
kan worden afgeleid of het begrip “betaalrekening” eveneens voorziet in die rekeningen waarbij er een tussenstap is vereist voor de uitvoering van een betalingstransactie waarbij geldmiddelen worden overgeboekt tussen de spaarrekening en de rekening-courant van de gebruiker. Volgens het Hof moet daarom worden gekeken naar de wettelijke context van de Richtlijn (PSD). In die zin acht het Hof van belang om de Richtlijn Betaalrekening (PAD)75 in aanmerking te nemen.76
Het Hof stelt dat, hoewel de PAD niet rechtstreeks van toepassing is op het hoofdgeding, zij volgens overweging 1277 ervan moet worden toegepast op alle betalingsdienstaanbieders in de zin van de Richtlijn Betalingsdiensten. Daarnaast verwijst het Hof naar overweging 14 van de PAD die stelt dat de definities opgenomen in de PAD zo veel mogelijk dienen afgestemd te zijn op andere wetgeving van de Unie, met name de Richtlijn Betalingsdiensten.78
Het Hof wijst erop dat bij het begrip “betaalrekening” moet worden opgemerkt dat de definitie in de PAD vrijwel identiek is aan de definitie in de PSD. Hoewel respectievelijk in de eerste Richtlijn het begrip ‘consument’ wordt gebruikt en in de tweede ‘betalingsdienstgebruiker’, wijst dit an sich niet op een wezenlijk onderscheid met betrekking tot de definitie van het begrip betaalrekening. Dit is veeleer het gevolg van het feit dat de twee richtlijnen in kwestie een verschillend onderwerp hebben, aldus het Hof.79 Het Hof beklemtoont dat in overweging 12 van de PAD te lezen staat dat spaarrekeningen van het toepassingsgebied zijn uitgesloten omdat het geen betaalrekeningen zijn, tenzij zij kunnen worden gebruikt voor alledaagse
betalingstransacties.80
75 Payment Account Directive, Richtlijn nr. 2014/92/EU van het Europees Parlement en de Raad
van 23 juli 2014 betreffende de vergelijkbaarheid van de in verband met betaalrekeningen aangerekende vergoedingen, het overstappen naar een andere betaalrekening en de toegang tot betaalrekeningen met basisfuncties, PB.L. 28 augustus 2014, afl. 257, 214-246.
76 HvJ (5e k.) 4 oktober 2018, nr. C-191/17, ECLI:EU:C:2018:809, Bundeskammer für Arbeiter und
Angestellte/ ING Diba Direktbank Austria, punt 23-25.
77 “De bepaling van de [PAD] betreffende de vergelijkbaarheid van de vergoedingen en het
overstappen naar een andere betaalrekening moet van toepassing zijn op alle betalingsdienstaanbieders als omschreven in [PSD]. (…)”.
78 HvJ (5e k.) 4 oktober 2018, nr. C-191/17, ECLI:EU:C:2018:809, Bundeskammer für Arbeiter und
Angestellte/ ING Diba Direktbank Austria, punt 26. 79Ibid, punt 27.
25 Dit wijst er volgens het Hof op dat de uitsluiting van spaarrekeningen van het toepassingsgebied niet absoluut is. Uit het enkele feit dat een rekening ‘spaarrekening’ wordt genoemd, valt niet te concluderen dat deze niet als ‘betaalrekening’ zou kunnen kwalificeren. Het beslissend criterium wordt gevormd door de mogelijkheid om alledaagse betalingstransacties te verrichten vanaf de betreffende rekening, stelt het Hof. Verder haalt het Hof art. 1, lid 6 PAD aan waarin is bepaald dat de richtlijn van toepassing is op betaalrekeningen waarmee consumenten ten minste geldmiddelen op een betaalrekening kunnen plaatsen, contanten van een betaalrekening kunnen opnemen en betalingstransacties – daaronder begrepen overmakingen van en naar derden – kunnen ontvangen respectievelijk uitvoeren. Hieruit leidt het Hof af dat de mogelijkheid om vanaf een rekening betalingstransacties van en naar derden te kunnen ontvangen, respectievelijk uitvoeren een wezenlijk bestanddeel van het begrip ‘betaalrekening’ vormt.81
39. Vandaar dat het Hof tot de conclusie komt dat wanneer betalingstransacties naar en
van derden niet rechtstreeks kunnen worden uitgevoerd vanaf een rekening, maar enkel kunnen worden verricht via een tussenrekening, de eerste rekening niet als ‘betaalrekening’ kan worden aangemerkt in de zin van de PAD en dus eveneens in de zin van PSD.82
40. VOERMAN merkt in zijn lezing van overweging 12 PAD echter op dat deze overweging
kan worden gelezen alsof er twee groepen betaalrekeningen zijn. Een eerste groep betaalrekeningen met onbeperkte functies.83 Een tweede groep van betaalrekeningen met beperkte functies.84
81 HvJ (5e k.) 4 oktober 2018, nr. C-191/17, ECLI:EU:C:2018:809, Bundeskammer für Arbeiter und
Angestellte/ ING Diba Direktbank Austria, punt 29, 30 en 31. 82 Ibid, punt 32.
83 Overw. 12 PAD: “(…) Alle bepalingen van deze richtlijn dienen betrekking te hebben op
betaalrekeningen waarmee consumenten de volgende transacties kunnen uitvoeren: geldmiddelen storten, contanten opnemen en betalingstransacties van derden ontvangen en naar derden uitvoeren, daaronder begrepen de uitvoering van overmakingen. (…)”.
84 Overw. 12 PAD: “(…)Rekeningen met meer beperkte functies dienen derhalve te worden
uitgesloten. Rekeningen zoals spaarrekeningen, kredietkaartrekeningen — waarop geldmiddelen doorgaans alleen worden gestort om een kredietkaartschuld af te lossen —, een “current account mortgage” of elektronische geldrekeningen zijn in beginsel van het toepassingsgebied van deze richtlijn uitgesloten.(...)”.
26 Hoewel deze rekeningen van het toepassingsgebied worden uitgesloten, worden zij niet uitgesloten omdat het geen betaalrekeningen zijn, maar wel omdat het gaat om betaalrekeningen met beperkte functie.
Op basis van de PAD, in combinatie gelezen met PSD zijn er volgens VOERMAN drie groepen rekeningen. De eerste betreffen die rekeningen met onbeperkte betaalfuncties, deze rekeningen bevinden zich zowel binnen de scope van de PAD als de PSD. Een tweede groep rekeningen betreffen betaalrekeningen met een beperkte betaalfuncties. Deze groep, die ruimer is dan de eerste, ligt alleen in de scope van de PSD. Een laatste groep betreft rekeningen die geen betaalrekeningen zijn en dus ook niet in de scope van PSD liggen, aldus VOERMAN.85
41. Volgens het Hof liggen enkel de eerste groep rekeningen, met onbeperkte
betaalfuncties, binnen het toepassingsgebied van PSD. Hoewel het Hof zijn uitspraak heeft gedaan onder de eerste Richtlijn Betalingsdiensten, kan de begripsbepaling en afbakening doorgetrokken worden naar PSDII. Dit wordt ook bevestigd door de Advocaat Generaal.86
Het criterium van het Hof met betrekking tot onbeperkte betalingstransacties om een betaalrekening te kwalificeren is niet volledig dezelfde als dat van het “hoofddoelcriterium” van de Belgische wetgever in 2009. Men zal moeten afwachten of dit verschil in benadering een reële impact zal hebben in België.87
42. Zoals reeds vernoemd in randnummer 32, is het begrip betaalrekening van wezenlijk
belang daar derde dienstaanbieders enkel toegang kunnen krijgen tot deze rekeningen. Het Arrest werd dan ook met enige opluchting onthaald door de rekeninghoudende bankiers88. Door deze afbakening aan de hand van onbeperkte betalingstransacties werd daardoor de reikwijdte van het Open banking-project89 aanzienlijk versmald.90
85 J.A. VOERMAN, Betaaldiensten 2.0, 61.
86 Conclusie A-G Tanchez van 19 juni 2018, ECLI:EU:C:2018:466, voetnoot 2.
87 G. HENNARD, “La loi du 19 juillet 2018”, DBF 2019, afl. 1, 31.
88 Rekeninghoudende betalingsdienstaanbieders;
89 Open Banking wordt gebruikt om te verwijzen het “open” stellen van de traditionele
bankwezen. Onder andere door het gebruik van een API’s (Application Program Interface) waarmee externe ontwikkelaars applicaties en diensten rond financiële instellingen kunnen bouwen. Hiervan zijn betalingsinitiatie- en rekeninginformatiedienstaanbieders een voorbeeld. 90 G. HENNARD, “La loi du 19 juillet 2018”, DBF 2019, afl. 1, 31.
27 Deze interpretatie kan evenwel perverse effecten met zich meebrengen merkt HENNARD op. Hierdoor wordt een aanzienlijk aantal rekeningen en betalingstransacties buiten het juridisch kader van PSDII geplaatst waardoor opnieuw rechtsonzekerheid wordt gecreëerd met betrekking tot derde-dienstaanbieders. Dit is net wat PSDII tracht aan tegemoet te komen.91 Er wordt gevreesd dat oude technieken zoals “screen-scraping” of meer recent “reverse engineering” opnieuw ingang zullen vinden om toegang te krijgen tot deze ‘uitgesloten’ rekeningen door derde-dienstaanbieders.92 Het verkrijgen van toegang tot betaalrekeningen door derde-dienstaanbieders wordt besproken bij deel II:
Access to Account.
2.5 Conclusie
43. Bij het begrip betaalrekening is niet de benaming van de rekening bepalend. Om als
betaalrekening te kunnen worden gekwalificeerd moet het mogelijk zijn om alledaagse betalingstransacties te verrichten vanaf de betreffende rekening. Hieronder wordt begrepen vanaf de rekening betalingstransacties van en naar derden te kunnen ontvangen, respectievelijk uitvoeren.
91 Zie overw. 28 PSDII: “Ook deze diensten moeten onder de richtlijn vallen [om] de rechtszekerheid
in verband met de status van rekeninginformatiediensten te bieden.”.
